İngiltere veri koruma yetkilileri, fidye yazılımı saldırısında binlerce kişinin bilgilerinin çalınmasının ardından şirketin gerekli güvenliği sağlamadığını tespit ettikten sonra NHS sağlayıcısı Advanced’e 6 milyon sterlinden fazla geçici para cezası verdi.
İngiltere Bilgi Komiserliği Ofisi yaptığı açıklamada, Ağustos 2022’deki fidye yazılımı saldırısının arkasındaki siber suçluların “başlangıçta çok faktörlü kimlik doğrulaması olmayan bir müşteri hesabı aracılığıyla Advanced’ın sağlık ve bakım sistemlerinden birçoğuna eriştiğini” belirledikten sonra para cezası kesildiğini söyledi.
Advanced’e yapılan siber saldırı, o dönemde Birleşik Krallık genelinde NHS hizmetlerinde yaygın bir kesintiye yol açtı, NHS acil olmayan 111 hattında kesintilere neden oldu ve hastaneleri ve tıbbi muayenehaneleri haftalarca kalem ve kağıda başvurmaya zorladı. Etkilenen NHS vakıflarındaki doktorlar, hasta kayıtlarına erişilemedi.
Saldırıyı araştırmaya yardımcı olan olay müdahale firması Mandiant, LockBit fidye yazılımı çetesinin kullandığı kötü amaçlı yazılımın saldırıda kullanıldığını söyledi; ancak LockBit, karanlık web sızıntı sitesindeki siber saldırının sorumluluğunu hiçbir zaman kamuoyuna açıklamadı. Bu, saldırıya uğramış bir şirketin fidye ödemiş olabileceğinin bir göstergesi olabilir. Advanced daha önce fidye ödeyip ödemediğini söylemeyi reddetti.
Ekim 2022’ye kadar, Advanced şunları söyledi: olay sonrası raporunda Siber suçluların Advanced’in ağına “meşru üçüncü taraf kimlik bilgilerini kullanarak” girdiği, bunun da hesapta çok faktörlü kimlik doğrulamasının olmadığı anlamına geldiği belirtildi.
Şimdi ICO bunu doğruluyor gibi görünüyor.
ICO, denetleyici kuruluşun Advanced’in “saldırıdan önce işlediği kişisel bilgileri korumak için uygun güvenlik önlemlerini uygulamaması nedeniyle veri koruma yasasını geçici olarak ihlal ettiğini” söylemesinin ardından geçici olarak 6,09 milyon £ (7,75 milyon $) para cezası keseceğini söyledi.
ICO ayrıca siber saldırının Birleşik Krallık’ta 83.000’e yakın kişinin telefon numaralarını ve tıbbi kayıtlarını çaldığını ve “evde bakım alan 890 kişinin evlerine nasıl girileceğine dair” ayrıntıların çalınmasına yol açtığını doğruladı.
Denetçi, para cezasının geçici olduğunu ve cezanın değişebileceğini söyledi. ICO Komiseri John Edwards, denetçinin bu davada kamuoyuna açıklama yapma kararını kısmen “gelecekte benzer olaylardan kaçınmak” için aldığını söyledi.
Edwards, “Özellikle hassas sağlık verilerini işleyen tüm kuruluşları, çok faktörlü kimlik doğrulamasıyla dış bağlantıları acilen güvence altına almaya çağırıyorum” dedi.
Advanced’in sözcüleri, yayımlanmadan önce yapılan yorum talebine yanıt vermedi.